Anti-ARP 25 解决方案-使用指南.ppt

Anti-ARP Project Copyright 2007 - Trend Micro Inc. Anti-ARP 2.5 解决方案-使用指南 Peter Zang, CRTL AVR 2008.07 Anti-ARP Project 概况 由于ARP协议本身的缺陷，在发送和接受时都并不进行确认，所以被病毒利用进行欺骗。 目前ARP病毒防护难 目前ARP病毒定位难 ARP病毒通常伴有内网HTTP挂马现象,很快辐射到全网 Anti-ARP Project 客户需求 在客户网络遭受ARP欺骗攻击时,仍然能维持正常的业务通信. 保证客户机与网关之间的通信 保证客户机与客户机之间的通信 定位ARP欺骗源头 Anti-ARP Project 本工具功能 免疫功能 对于未感染ARP病毒的局域网，防止ARP病毒突然爆发带来的大面积无法访问网络资源等危害。 治疗功能 对于怀疑感染或已经感染ARP病毒的局域网，防止虚假ARP包造成的网络瘫痪，一般染毒网络中会伴有通过ARP挂马在恶意站点下载大量病毒文件等现象。此方案也可作为辅助解决此类病毒现象反复出现的工具。 Anti-ARP Project 特点 支持Windows 2000、Windows XP、Windows Server 2003平台； 通过中间层驱动对ARP响应包的过滤有效阻止ARP欺骗行为； 可以通过OSCE、CSM/CSS服务器端全网部署及解除部署； 安装卸载皆无需重启计算机； 安装后即可自动启动，无需额外操作； 驱动文件自我保护功能，防止被误删除或被恶意文件删除； 扫描到ARP欺骗数据包时会自动记录至OSCE、CSM/CSS日志中并上传至服务器端，便于管理； 不影响网络使用及网速，不会造成网络拥堵。 Anti-ARP Project APR病毒包检测日志 当检测到伪造的ARP响应包后，工具会将进行记录，日志将记录在如下位置： C:\Program Files\Trend Micro\OfficeScan Client\Misc\ pccnt35.log （即OSCE的病毒日志） 格式如下： [日期];[时间];RTL_AntiARP.Pkt;1;1;0;ARP Defense Solution: suspicious ARP spoofing packets detected. Blocked packets #: [拦截数据包数量]; 例：1200;RTL_AntiARP.Pkt;1;1;0;ARP Defense Solution: suspicious ARP spoofing packets detected. Blocked packets #: 16 ; Anti-ARP Project 组件信息 本解决方案包含以下组件 Install文件夹下 antiarp.exe：Installer tsc.exe：tsc工具 tsc.ptn：安装部署用特殊版tsc pattern Uninstall文件夹下 antiarp.exe：Installer tsc.exe：tsc工具 tsc.ptn：卸载部署用特殊版tsc pattern Anti-ARP Project 安装部署方案 通过服务器端部署专用的特殊版TSC进行全网安装 *详情可参考部署方案 单机可直接运行特殊版TSC进行安装 *详情可参考部署方案 Anti-ARP Project 卸载部署方案 通过服务器端部署专用的特殊版TSC进行全网卸载 *详情可参考部署方案 单机可直接运行特殊版TSC进行卸载 *详情可参考部署方案 Anti-ARP Project 部署注意点 在安装时会中断越10秒的网络连接后重新启用。故请勿在业务繁忙的工作时间进行部署。 该工具会与360安全卫士的antiarp工具发生冲突，故在部署前请先卸载360的antiarp工具。若未卸载在安装时会提示进行卸载。 Anti-ARP Project 如何确认安装成功？ 服务安装成功 驱动安装成功 Anti-ARP Project 如何确认功能性？ 可以通过一个利用ARP欺骗切断网络中某一台计算机的工具：Netcut（网络剪刀手） /internet/tools/detail-13526.html 在安装了AntiARP工具的计算机上使用netcut将失效，无法切断其他计算机的通信。 *详情可参考部署文档 Anti-ARP Project QA * Anti-ARP Project Copyright 2007 - Trend Micro Inc. *